RGSMPX桌面管理審計組件產(chǎn)品特性專業(yè)技術白皮書

1、補丁多桌面該應用妙RG-SMP 2.X桌面管理/審汁組件主要針對IT運維中PC桌面管理維護丄作的平 臺型軟件系統(tǒng)。產(chǎn)品主要是以結合WML MBSA、SPI. PFI. FACF等多種技術，形成一套集中性的控制系統(tǒng)。rgsM 電車特性技術硬件戎 應用稻創(chuàng)新點一:PFI是銳捷 紋技術，釆用: 件，在進程中白 并預先設定一, 哪些是非法的,免PC使用者為了逃避管理而采取的更改權限、更改文件屬性多種手段。創(chuàng)新點二：FACF （File Access Control Filtering,文件訪問過濾）FACF是銳捷基于操作系統(tǒng)內(nèi)核，創(chuàng)建了一個對PC用戶訪問文件的過濾機制， 這個過濾機制能夠根據(jù)預先建立的

2、規(guī)則，對于PC用戶的磁盤進行讀保護、寫保 護以及刪除保護。通過建立這樣一套機制，能夠?qū)C用戶使用PC的行為進行管 理，該技術普遍用于RG-SMP2.X桌面管理/審計組件中外設管理，以及桌面設置 和文件系統(tǒng)審計等范圍。創(chuàng)新點三：動態(tài)服務器管理技術傳統(tǒng)的應用程序架構一般采用一個服務器管理多個客戶端的模式，這種模式 下，被管理端依賴服務器，與服務器動態(tài)通訊，當被管理端有數(shù)據(jù)上報，則直接 請求服務器，服務器處理后反饋給被管理端。銳捷開發(fā)成功動態(tài)服務器管理技術，首先，服務器是可以動態(tài)部署的，就是 管理員可以根據(jù)預先的網(wǎng)絡終端分布情況，預先自動部署服務器對客戶端的管 理。但實際的應用當中發(fā)現(xiàn)，服務器可能

3、因為某種原因，被終止通訊、被認為停 止服務程序、被誤操作臨時關閉等。那么這種行為發(fā)生后，就會發(fā)生客戶端PC 無法連接到服務器，從而脫離管理，因此造成客戶端PC該執(zhí)行的策略沒有執(zhí)行, 管理員也因為服務器系統(tǒng)臨時故障而無法管理該PCo動態(tài)服務器管理技術，則能夠處理這種問題，其最大的好處是不需要客戶額 外配置硬件服務器系統(tǒng)，也就是不需要部署額外的硬件作為冗余。RG-SMP 2.X 桌面管理/審計組件可以任意選擇一個PC作為其中繼服務器，并且可以根據(jù)網(wǎng)絡 規(guī)模，動態(tài)生成多個服務器系統(tǒng)，這個服務器可以運行在任何被管理的開機的 PC上，當該PC發(fā)生被阻止了通訊、被關閉或停止服務的惜況，那么其管理下的 客戶

4、端會根據(jù)預先的服務器冗余策略，自動找到第二個服務器，因此，這種技術， 能夠在不增加客戶硬件投資的前提下，依賴客戶現(xiàn)有資源就能夠解決服務器動態(tài) 均衡負載、動態(tài)部署等一系列問題，從而確保服務器系統(tǒng)一直能夠正常工作，避 免客戶端脫離管理而造成負面作用。（一）應用創(chuàng)新：應用創(chuàng)新點一：進程管理策略通常，IT運維系統(tǒng)都集中在服務器及網(wǎng)絡設備，而針對桌面的管理方案比較 少。銳捷研發(fā)初期，在做系統(tǒng)分析的時候，就充分與客戶溝通，發(fā)現(xiàn)了客戶實際 的困難和需要。這種情況普遍發(fā)生在，一客戶普遍沒有采用統(tǒng)一的LI錄服務系統(tǒng), 無法統(tǒng)一釆用LI錄部署相應的策略，造成每個PC的使用者就是該PC的管理者, 那么一旦這個pc出

5、現(xiàn)問題，就造成的不是這個pc本身的問題，而是全網(wǎng)絡都可 能被影響。因此，進程管理策略，基于銳捷PFI技術，能夠協(xié)助客戶，對桌面應用程序 進行管理和規(guī)范。對于原先屬于失控的桌面進程管理，提供非常有力的手段。應用創(chuàng)新點二：網(wǎng)絡資源訪問策略為了保證PC的安全性，客戶會為其所有PC部署防病毒軟件，有的甚至部署 網(wǎng)絡PC防火墻軟件，確保PC的安全性。但這些只能起到最基本的作用，就是無 法保證其使用者行為的安全性?，F(xiàn)在越來越多的病毒和木馬，都充分利用使用者 對安全知識的缺乏了解，從而獲得使用者的合法確認，接著就可以大肆破壞了。RG-SMP 2.X桌面管理/審計組件則釆用SPI技術，對每個PC的使用者，對其

6、 行為定義了網(wǎng)絡訪問策略，就是說，在未經(jīng)IT管理員的允許下，其訪問網(wǎng)絡資 源會受到控制。一般包括服務器資源，其他用戶的PC上的資源，都會缺少相應 的內(nèi)容保護，而如果對所有PC使用者都缺少其網(wǎng)絡資源訪問管理策略的話，資 源被隨意訪問，其至感染病毒就變成很自然的事情了。RG-SMP 2.X桌面管理/審訃組件能夠預先定義各種網(wǎng)絡資源訪問策略，如屬 于生產(chǎn)部門的，屬于銷售部門的，屬于單位最高管理層的，那么PC用戶被分別 部署不同權限的資源，就只能被授予有限的網(wǎng)絡資源可以使用或訪問，從而就進 一步使PC用戶網(wǎng)絡行為得到規(guī)范，也在資源上更加安全。(二) 產(chǎn)品主要從以下幾個方面著手:智能化數(shù)據(jù)采集：采用 M

7、icrosoft WMI (Windows Instrumentation Interface)技術，能夠獲取 PC 所有的硬件配置、BIOS信息、安裝的軟件信息、設備驅(qū)動、連接的外設信息、 相關注冊表信息等。對于WMI無法提供的數(shù)據(jù)采集需求，則必需采用匯編 等開發(fā)語言，基于系統(tǒng)底層自行獲取，數(shù)據(jù)采集主要要求：一數(shù)據(jù)的準確性, 數(shù)據(jù)實際真實反映PC的信息，不能出現(xiàn)兩次讀取數(shù)據(jù)在無變更情況下有差 異的悄況，且在有變更情況下應該讀取變更詳細信息；二數(shù)據(jù)采集應該能夠 依據(jù)操作系統(tǒng)的變更自動識別，應能夠獲取PC信息變更事件，捕獲到事件 后對數(shù)據(jù)重新采集。建立能夠支撐大量并行操作的通訊消息平臺：由于針對

8、客戶兒白其至兒千臺PC的管理需求，必須建立能夠適應大量終端 并發(fā)存取及響應得通訊體系，以確保數(shù)據(jù)：一能夠準確傳遞到服務器和管理 員控制臺；二能夠支撐當某一事件發(fā)生時，兒白個請求同時連接，要保證低 的丟包率，建立高效的并行處理機制；三當管理控制臺對某個或某些終端采 取即時手段的時候，要能夠最快速地將策略下達并準確執(zhí)行。建立數(shù)據(jù)分析模型：將終端采集的各種數(shù)據(jù)，加以分析整理，形成Inventory、Process、System Patchs Peripherals Network Ports Performance Capacity 等等報表，給管 理員直接的查詢模型，要能夠：一模型反映管理員最經(jīng)常

9、需求的業(yè)務模型； 二模型需能夠即時反應，既模型反映的包括當時的數(shù)據(jù)，而不能僅依賴歷史 數(shù)據(jù)；三模型應該能夠提供客戶自定義的需求，當管理員需要進一步挖掘數(shù) 據(jù)的時候，應該提供相應的査詢手段。建立統(tǒng)一化策略機制：PC數(shù)量比較多的情況，不同PC其內(nèi)在應用運行的權限、數(shù)據(jù)存取權限、外 設使用權限、網(wǎng)絡訪問的權限等都需要預先設定，而如果逐個去設置，那么 會非常繁瑣，如300個PC,如果讓一個工程師去設置的話，那會占用其大量 的時間，且策略隨著管理需求的變更會隨時改變，因此，需要一體化的策略 機制，使策略設計、部署、啟用等，能夠智能化作業(yè)。數(shù)據(jù)安全：由于本產(chǎn)品所涉及的是PC本身的管理，因此其權限要求非常高

10、，所以需要 對其所有通訊進行全程加密，通常TCP/IP作為明文協(xié)議，用Sniffer工具很容 易獲取其數(shù)據(jù)內(nèi)容，這樣就會對系統(tǒng)本身產(chǎn)生非常巨大安全隱患，一旦系統(tǒng) 通訊被破解，就會涉及到眾多PC的安全問題。因此，需要從四個方面進行 安全性考慮：一對數(shù)據(jù)通訊進行全程加密，確保數(shù)據(jù)在網(wǎng)絡傳遞過程中是密 文；二服務器與客戶機的存取，需進行身份驗證；三是控制臺對客戶機的訪 問，需要采用動態(tài)Key加密技術，一次訪問采用的key只能本次發(fā)揮作用， 訪問斷開則key失效；四要求其服務器數(shù)據(jù)必須具有存取限制，控制臺有密 碼保護，同時數(shù)據(jù)庫支持大型數(shù)據(jù)庫，確保安全。網(wǎng)絡訪問過濾技術：Windows下的通訊攔截都是

11、基于對數(shù)據(jù)報的攔截技術之上。當然在具體的實 現(xiàn)方式上它們卻有很大的不同?？偟膩碚f可分為用戶級和內(nèi)核級數(shù)據(jù)報攔截 兩類。其中內(nèi)核級主要是TDI過濾驅(qū)動程序，NDIS中間層過濾驅(qū)動程序，NDIS 過濾鉤子驅(qū)動程序等，它們都是利用網(wǎng)絡驅(qū)動來實現(xiàn)的；而用戶級的過濾包 括SPI接口，Windows2000包過濾接口等。在服務器和客戶端通訊過程中， 使用winsock進行網(wǎng)絡通訊。Winsock 2是一個接口，而不是協(xié)議，所以它 可以用于發(fā)現(xiàn)和使用任意數(shù)量的底層傳輸協(xié)議所提供的通信能力。起初的 Winsock是圉繞著TCP/IP協(xié)議運行的，但是在Winsock2中卻增加了對更多 傳輸協(xié)議的支持。Winso

12、ck2不僅提供了一個供應用程序訪問網(wǎng)絡服務的 Windowssocket應用程序編程接口（API）,還包含了山傳輸服務提供者和名 字解讀服務提供者實現(xiàn)的Winsock服務提供者接口（SPI）o高效的編碼方式實現(xiàn)遠程視頻傳輸：視頻傳輸?shù)幕具^程是發(fā)送端采用改進的H.263視頻壓縮標準對原始視頻流 進行壓縮后通過網(wǎng)絡進行遠程傳輸；接收端采用相應的H.263解碼標準對接 收的數(shù)據(jù)進行解碼并實時顯示，從而達到實時監(jiān)控的LI的。其網(wǎng)絡傳送平臺 如圖所示。通過高效的的編碼解碼，實現(xiàn)了平滑的圖像傳輸和監(jiān)控。（三）產(chǎn)品技術路線描述RG-SMP 2.X桌面管理/審計組件主要是針對Windows操作系統(tǒng)平臺，且對

13、于 大量終端，釆用分布式的服務器架構。通過這一架構，能夠適應多種網(wǎng)絡模式， 且采用集中管控機制，分支機構的數(shù)據(jù)將最終都同步到管理服務器，山管理服務 器統(tǒng)一定義及部署管理策略。針對終端,則充分利用WMk SPk BITS、MBSA、PFk FACF等技術:RG-SMP客戶端調(diào)度程序硬件及外設配宜 應用程序信息 補丁安裝信息桌而設置信息 各種PC性能閥值 應用軟件部署網(wǎng)絡端口及流量 網(wǎng)絡通訊過濾文件系統(tǒng)訪問過 濾規(guī)則部署 網(wǎng)上鄰居過濾Win Socket n SPIWMk MBSA. PFI、FACF 及各種 Windows SDK操作系統(tǒng)平臺:Windows 98、Windows NT Wind

14、ows 2000x Windows XP Windows 2003（四）產(chǎn)品技術實現(xiàn)依據(jù)1.設計思想依據(jù)：包括文獻，或?qū)＠?，或發(fā)明等RG-SMP 2. X桌面管理/審計組件主要依據(jù)ITIL （IT基礎架構庫）作為基本的設計思想，并充分結合國內(nèi)客戶的管理需求，按照簡單化的設計理念，形成能夠為IT管理者的快速解決問題的工具。ITIL是1989年英國政府商務辦公室（OGC）提出的旨在提高IT管理服務水 平的管理體系。ITIL通過對企業(yè)資源、提高IT服務的可用性、可靠性及安全 性，以及評佔服務質(zhì)量成本，服務流程等一系列的針對IT運維的指導性理論, 可以幫助企業(yè)IT服務提供和支持能力的提高，組織企業(yè)高效

15、有效地運用技術, 讓既有信息資源得到最大的效能。2.關鍵技術實現(xiàn)的依據(jù)：在一些關鍵技術上，均釆用已經(jīng)廣泛采用且可靠穩(wěn)定的技術來具體實現(xiàn), 確保開發(fā)出的產(chǎn)品能夠有高兼容性、安全性和穩(wěn)定性。RG-SMP 2. X桌面管理/ 審汁組件的各主要功能模塊，在具體的實現(xiàn)技術上，充分運用操作系統(tǒng)提供 的SDK和底層接口。自行開發(fā)的PFI、FACF技術，也是基于各Windows操作系統(tǒng) 提供的內(nèi)存管理技術和文件系統(tǒng)技術開發(fā)而成的。加密數(shù)據(jù)通訊平臺。RG-SMP 2. X桌面管理/審計組件根據(jù)OpenSSL提供的 加密原理和技術，充分運用RSA和DES等加密算法，對服務器到客戶端、服務 器到控制臺等，進行加密處

16、理，使得所有通訊即使被從網(wǎng)絡上截獲，都無法 解碼，無法獲得實際的通訊內(nèi)容。對于控制臺直接訪問客戶端的惜況，則除 了加密傳輸外，還另外為每次傳輸，山RG-SMP2.X桌面管理/審計組件服務器 專門動態(tài)生成key, 旦通訊完畢，則自動失效，確保即使控制臺通訊被攔截, 但山于無法獲得動態(tài)的key,而無法繼續(xù)與客戶端通訊，確保客戶端的管理安 全性。數(shù)據(jù)庫組件封裝。傳統(tǒng)的軟件架構都采用應用程序直接通過類似ADO等數(shù) 據(jù)庫連接部件直接訪問數(shù)據(jù)庫的方法，但在實際的工作中，山于后臺數(shù)據(jù)庫 會依據(jù)客戶本身采購的大型數(shù)據(jù)庫不一樣，而造成軟件的使用受阻，如有的 客戶是Oracle,而有的客戶是SQL Server,

17、而有的客戶沒有采購任何大型數(shù) 據(jù)庫，則只能用桌面的數(shù)據(jù)集如MDB來代替。而真正要做到一個應用程序兼容 所有數(shù)據(jù)庫，則按照傳統(tǒng)的方法，需要把所有的數(shù)據(jù)庫操作都放在應用程序 內(nèi)部，這樣既不利于程序移植，乂不能充分體現(xiàn)面向?qū)ο蟮拈_發(fā)方法。因此 RG-SMP 2. X桌面管理/審計組件釆用將數(shù)據(jù)庫訪問進行封裝，將所有的訪問行 為規(guī)范化設計，形成標準的XML,山數(shù)據(jù)庫服務器進行XML的解讀，然后再進 行數(shù)據(jù)庫存儲，存取操作都通過標準接口，而數(shù)據(jù)庫服務器與數(shù)據(jù)庫的訪問， 則根據(jù)不同的數(shù)據(jù)庫類型自行調(diào)整。這一技術能夠最大程度地對數(shù)據(jù)庫業(yè)務 邏輯進行封裝，使得系統(tǒng)的部署更加優(yōu)化，且更具有靈活性。大型網(wǎng)絡管理支

18、持。從RG-SMP 2. X桌面管理/審計組件現(xiàn)有客戶規(guī)模分析， 30%的客戶其PC規(guī)模都超過500,而13%的客戶，都是分布式的網(wǎng)絡架構，普遍 的一個需求就是總部與分部，不在同一局域網(wǎng)絡，而多采用租用電信寬帶的 方法，這就在架構上對RG-SMP 2. X桌面管理/審計組件提出了挑戰(zhàn)。RG-SMP 2. X 桌面管理/審計組件采用了多服務器分布式的管理架構。RG-SMP 2.X桌面管理/ 審汁組件提供三種服務器模式，既管理服務器、二級管理服務器、中繼服務 器架構。對于大型用戶，其管理的根服務器通?？梢圆渴餜G-SMP 2.X桌面管理 /審計組件的管理服務器，而對于分支機構，則采用二級管理服務器，使得分 支機構的管理人員直接對本地進行管理，同時總部也有權限直接管理分支機 構。而中繼服務器則進一步對PC管理范圍大的機構，提供每增加一個中繼服 務器，則進一步擴大管理范圍的作用。從而通過管理層次：管理服務器、二 級管理服務器、中繼服務器，使整個管理范圍不斷擴大。最終適應大型網(wǎng)絡 管理的需要，如下圖：(X) RG-SMP 2.X桌面管理/審計組件主要有如下優(yōu)勢：9客戶需求體現(xiàn)準確，RG-SMP 2.X桌面管理/審計組件的設計者和開發(fā)者均 來自國內(nèi)具有豐富IT運維經(jīng)驗的管理人員，